《学校校园网络 升级改造设计方案.doc》由会员分享,可在线阅读,更多相关《学校校园网络 升级改造设计方案.doc(88页珍藏版)》请在三一办公上搜索。
1、学校校园网络升级改造设计方案2011年12月目录一、项目建设背景2二、校园网建设背景92.1遵循开放、标准、可持续扩展原则92.2技术和产品使用的先进性和实用性92.3网络架构平台建设标准9第三章校园网建设的需求123.1高性能高可靠网络基础架构需求133.2校园网络的安全需求133.3校内统一身份认证管理需求153.4IPV6应用和部署需求163.5校园宿舍网络建设需求183.6校园网综合管理管理需求19第四章天水农业学校网络解决方案214.1全网拓扑设计及描述214.2解决方案详细阐述244.2.1网络架构设计244.2.2网络核心设计264.2.3网络出口设计314.2.4网络安全管理设
2、计344.2.5网络系统管理设计434.2.6全网IPv6部署的实现444.2.7网络流量分析及安全日志管理设计454.3设备选型464.3.1汇聚交换机选型说明474.3.2接入交换机选型说明514.3.3出口及安全设备选型说明554.3.4网络安全及系统管理软件68第五章天水农业学校整体方案85第六章售后服务86一、 项目建设背景 天水农业学校目前位于清水县城东关,是1969年由兰州下迁成立的,2000年被甘肃省政府确认为省部级重点普通中专学校。校园占地面积10.8万m2,建筑面积5.24万m2,有教学实习场所3处,占地1468亩。建有现代化多功能厅、多媒体语音室、电子阅览室、闭路电视教学
3、系统,拥有微机480余台,建立了校园网,采用FTTX-LNA宽带接入Internet,设有20个专业实验室,实验、实习设备齐全。图书馆藏书17.6万册,有专职教师103人,其中高级职称29人,中级职称46人,博士1人,硕士5 人,现开设14个专业,在校学生人数3363人。学校以市场需求为导向,确立了“以学生为主体、以教师为指导、以能力为本位”的教学指导思想,坚持“实用、适用、够用、先进”的原则,改革教学内容,以实 训教学为重点,改革教学方法。不断优化专业结构,拓展专业面向,已由最初的农学、园艺两个专业扩大到现在的计算机应用、电子技术应用、农学、园艺、现代园 林、多媒体与网络技术、药用动植物生产
4、、草业工程、农产品加工与市场营销、土地规划与管理、环境与生态、汽车拖拉机应用与维修等14专业。建立校外实习基 地30多处,组建学生科研兴趣小组20多个,组织学生积极参与青少年生物多样性探索活动,先后有5项获省级奖励,1项获全国青少年“英特尔英才 奖”,2001年被国家教育部等四部委评为第六届全国生物和环境实践活动优秀项目一等奖。同年参加甘肃省首届中等职业学校英语竞赛获集体三等 奖,2002年参加天水市中等职业学校技能竞赛获英语“团体一等奖”计算机“团体二等奖”。国内校园网经历的三个阶段数字校园是以校园网为基础,利用先进的信息化手段和工具,实现从环境(包括实验室、教室、设备等)、资源(如公文、图
5、书、讲义、课件等)、到活动(包括教学、科研、管理、服务、办公等)的全部数字化。在传统校园的基础上构建一个数字空间,以拓展现实校园的时间和空间维度,从而提升传统校园的效率,扩展传统校园的功能,最终实现教育过程的全面信息化,达到提高教育质量和效率的目的。高校校园网从1994年的启动建立到现在的15年间,无论是高校校园网的网络技术,还是高校校园网的关注要点,大致可以分为三个阶段。第一阶段是基础设施建设时期,时间大约从1994年到2000年。这期间各种网络技术在高校同时都有应用:以太网技术,FDDI,ATM网络技术。在这个阶段,由于校园网应用的技术比较繁杂,而且业务相对单一,因此,这一阶段,主要关注网
6、络的连通性和兼容性,即如何保证校园网的连通,和各种不同网络技术的兼容和融合。第二阶段是应用平台建设时期,时间大约是从2000年到2005年。这期间随着网络技术的发展,各种应用也开始出现并发展迅速,包括BBS、WWW、FTP、E-mail,以及近两年流行的BT下载、视音频业务等等,这些应用都对带宽提出了挑战。另一个在此阶段发展迅速的校园网应用就是IPTV,更是被成为带宽的杀手级应用。与此同时,网络技术-特别是以太网技术迅猛发展,1000M以太网已经步入校园,万兆标准也已经公布。结合实际应用和网络技术来看,这个阶段主要关注:带宽和应用。第三阶段是信息资源建设时期。时间从2006年至今,乃至今后几年
7、时间内。近几年,万兆以太网已经开始在高校校园网中规模化应用,下一代以太网标准也已经确立为10万兆标准。同时,随着Cernet2的启动,IPV6技术也已经在校园网中实验并逐步应用。当基础设施、应用平台建设之后,信息资源的丰富与否决定了校园网络的真正价值。当信息资源充分丰富后,人们的工作、学习、生活、娱乐完全离不开网络,网络的稳定、可靠、高效、安全与可信成为头等重要的问题。国内校园网信息化建设现状 目前国内校园信息化建设不断开展中,但其建设过程中还遇到了不少问题,其中诸多典型的问题如: 1) 数据孤岛:数据分散管理,不准确、不规范、不一致,难以共享;2) 应用孤岛:各部门独立建设,技术不统一、用户
8、不统一,应用间难以相互衔接;造成这些现象的原因是:1) 技术方面缺乏顶层设计、缺乏技术规范与信息标准;2) 管理方面各自为政、缺乏组织与协调。3) 不重视信息化:认为信息化是锦上添花的事,没认识到信息化是现代化学校的必然选择;4) 重硬轻软忽视服务:如在企业ERP实施中,硬:软:服务经费比通常为2:3:5;而在学校信息化建设中,硬:软:服务经费比常约为6:3:1。5) 重建设轻应用:忽视推广应用,信息化建设成效差。不同的阶段对可持续发展的关注点不同;当前阶段影响可持续发展的关键问题业务上“入主流”:直接支持教学与科研,提高学校核心竞争力;核心是信息化要促进学校核心竞争力的提高,并成为学校核心竞
9、争力的重要组成部分;管理上“完善体制”:科学的建设模式、合理的运行机制、有力的管理体制;关键是权威的管理机构、强有力技术支撑和队伍建设;技术上“走标准开放之路”:开放的系统框架与技术体系,规范的信息标准;重点是解决“信息孤岛”、“应用孤岛”问题。国内校园网信息化可持续发展的有利形势2007年1月,教育部、财政部联合启动“高等学校本科教学质量与教学改革工程”;1) 六大举措:l 一是专业结构调整与专业认证;l 二是课程、教材建设与资源共享;l 三是实践教学与人才培养模式改革创新;l 四是教学团队和高水平教师队伍建设;l 五是教学评估与教学状态基本数据公布;l 六是对口支援西部地区高等学校。2)
10、七大系统:l 专业设置预测系统;l 教学基本状态数据库系统;l 大学英语与网络教育网上考试系统;l 网络教育资源管理和质量监管系统;l 精品课程共享系统;l 立体化教材数字资源系统,终身学习服务系统。3) 九大目标:l 信息化手段与技术在人才培养中广泛应用,改变现有人才培养模式,l 实现课程、图书、实验设备等优质资源的全国共享;l 初步实现专业设置和社会需求的互动,建立专业设置预测系统;l 通过开展自主学习、研究性学习和对实践教学改革,提高学生的学习和研究兴趣,培养学生动手能力和创新精神;l 用信息技术实施英语教学,4年后使60以上的大学本科毕业生解决英语听说问题;l 推进各种科技和有益健康的
11、体育协会、俱乐部活动,建设和谐校园,培养学生的社会主义人文精神和创新精神;l 建设一批教学团队,完善教授上讲台的政策机制;l 初步建立用于网络教育的公共服务体系,打通普通本科教育和网络教育的课程体系;l 不断完善高校教学质量定期评估制度,改进评估手段和方法;2007年2月,教育部关于进一步深化本科教学改革全面提高教学质量的若干意见明确指出把信息技术作为提高教学质量的重要手段。信息技术正在改变高等教育的人才培养模式。高等学校要在教学活动中广泛采用信息技术,不断推进教学资源的共建共享,逐步实现教学及管理的网络化和数字化。要进一步培养和提高教师制作和使用多媒体课件、运用信息技术开展教学活动的能力,培
12、养和提高本科生通过计算机和多媒体课件学习的能力,以及利用网络资源进行学习的能力。4) 指导思想以科学发展观为指导,以构建学习型社会、促进和谐社会建设、实现全面小康的巨大需求为动力,以开拓创新的精神推进教育信息化,以务求实效的实践建设教育信息化。坚持“体制创新、统筹规划、重点突破、分步推进、资源共享、深化应用”的原则。以网络建设为基础,标准建设为保障,资源共享与应用为核心,信息技术研究开发为支撑,管理体制、运行机制、技术水平和应用能力的不断创新为增长点。积极推进信息技术在教育中的普及应用,切实提高教育信息化支持教育现代化发展的能力。 二、 校园网建设背景2.1遵循开放、标准、可持续扩展原则网络技
13、术能够得以高速发展主要得益于网络技术规范的标准和开放性,任何系统只有具备足够的开放性才能支持业务的持续发展,在天水农业学校大规模的网络互联环境中,在网络架构的技术选择和业务的部署上也应当遵循这一原则。2.2技术和产品使用的先进性和实用性 信息系统和网络建设必须具有一定的先进性,选用较新的技术路线,将使系统具有较长的生命周期。同时系统建设还必须兼顾实用性,选用具有实用价值的技术和产品。2.3网络架构平台建设标准根据锐捷网络10年的各大高校校园网建设经验,新一代校园网建设的方向的已经明朗,就是建设基于IPv4/IPv6双协议栈的城域网。运营级的校园网应该具备如下特征: 网络骨干区域万兆技术的支持在
14、万兆技术成熟的今天,万兆核心已经成为部署便捷、高速率、高性价比的下一代校园网的基础;基于万兆技术的核心路由交换平台成为现阶段校园网核心应用的典型特征。核心和汇聚交换机都需支持万兆接口,以保证整个网络的高带宽、高性能,满足校园网大流量、多业务的实际需求。 网络具有冗余和负载均衡设计设备级:骨干设备需支持冗余管理引擎、冗余电源,同时所配置板卡支持带电热插拔,以保证网络运行过程中,任何一个管理引擎,任何一块电源出现故障,整个设备通讯不会中断,业务通讯不会受到任何影响。链路级:核心层到汇聚层采用多条(两条以上)链路连接,通过OSPF和ECMP/WCMP等的合理路由设计,提高了链路带宽也实现链路冗余,且
15、在网任何一条链路出现故障,校园网络不会出现中断而受到影响。 网络的高可靠性设备应具有良好的安全性考虑,通过各种网络安全措施,确保对网络资源的访问实现有效的安全策略,由于网络系统需要为广大用户提供互联并将支持多种业务,网络系统应支持多种安全控制,如核心设备要能具备缺省的安全性、路由验证、线速的访问控制列表以及对拒绝访问攻击(DoS)的防护等。当恶意用户对网络发起攻击时,设备能自动进行防御,从而保证系统的安全性。 基础网络对IPv6的硬件支持现阶段IPv6技术的核心标准已经完善,作为高校,对于IPv6技术的研究和使用要走在前头,所以对于校园网的骨干设备必须支持IPv6技术。同时,为了保证骨干网络对
16、IPv6数据和应用的有效承载,也要求设备必须ASIC硬件支持IPv6技术,并且设备采用分布式线卡ASIC实现, 这样才能保证IPV4和IPV6转发和应用都能实现高可用性。第三章校园网建设的需求天水农业学校由两个校区合并而成,主校区为陇西师范,其他两个相距1KM以上,各分校区与主校区之间需要进行网络对接。两个个校区总共在校人数2000余人,主要接入区域为办公区、教师、6个计算机机房,主校区包含3栋宿舍楼及4栋教学办公楼。主校区原有网络简单老旧,建设于2002年,包含一台核心交换机、若干百兆交换机(分布于艺术楼、综合楼、实训楼)、一台出口路由器及一台行为审计设备,DNS、Ftp、mail服务器直连
17、核心交换机。两个分校区目前网络建设情况不明,几乎没有什么网络设备。随着国家教育信息化建设的不断开展,天水农业学校也从办学及自身信息化建设需要出发,不断对校园信息化网络进行建设。同时,天水农业学校作为第一批国家级中职示范校,需要对现有信息化系统进行建设,其中包含教学系统、一卡通、数字图书馆等内容的建设。其中骨干网建设主要包含:对两个分校区的核心汇聚设备通过运营商专线上联到核心;未来出口带宽至少不会低于100M,因此互联网出口建设需要考虑网络安全网关设备、并实现对出口进行流控、实名日志记录、安全防护等功能;数据网管中心建设,部署一台汇聚交换机用来汇聚服务器,并考虑部署实名认证及上网审计系统、以及上
18、网计费等,同时需要建设校园网应用系统统一登录、网络管理系统;同时要考虑校园内部分教研室及特殊区域的无线接入需求。学校信息化建设是一项庞大的系统工程。从宏观角度看,涉及学校的教学、科研、管理和社会服务等诸领域;从微观来说,则包括信息基础设施建设、信息资源建设、技术队伍建设、应用系统建设和教师技能培训等。这些方面相互影响、相互联系,共同构成了一个多维度和多层面的学校信息化蓝图。从技术层面讲,学校信息化建设是以校园网为基础、由一系列硬件设备和数据库、软件系统所组成的一个大型系统。校园网作为校园信息化建设的基础平台,从功能、性能、可靠性及安全性等,以具体的应用和环境应当满足以下的需求:3.1高性能高可
19、靠网络基础架构需求如今校园网内业务数据逐步从文字类信息转变教学视频、多业务应用、高效数据中心等数据应用,同时在Web2.0 网络时代,从传统应用的网页访问,收发邮件等,到现在的网络中越来越多的多媒体应用,主要包括VoIP、IPTV、视频会议和视频点播。这些应用的最大特征就是对于带宽要求高并且对时延非常敏感,这些需求,对于现有的千兆核心网络已经完全不能很好响应和满足。因此建立高可靠高性能的双万兆核心尤其对于信息点较多的天水农业学校校园网使用效率来说,尤为迫切。3.2校园网络的安全需求信息化建设的不断推进,使得校园网络建设日趋完善;学校的教学、办公、科研已越来越依赖于网络平台。随着网络技术的不断发
20、展,各种安全事件层出不穷,消除网络安全问题已成为我们信息化部门考虑的焦点。1) 设备自身的安全需要稳定和保障目前在内网安全事件中,出现从攻击主机、服务器转为攻击网络设备的趋势,网络设备特别是网络核心设备遭受攻击将导致设备死机、重启、CPU利用率100%等严重问题,从而导致整个网络通信中断,造成灾难性后果,因此如何保障网络设备自身的安全性、稳定性成为学校在建设网络、选择网络设备时需首要考虑的问题。2) 网络攻击的防护网络中各种攻击病毒泛滥,常见的如ARP攻击、DDOS攻击、IP地址盗用、DHCP服务器私设对日常网络访问造成严重影响,因此在网络建设时需要网络设备自身具备各种抵御攻击的安全防护能力,
21、对常见攻击行为进行有效的防护。从而保障整个网络的稳定可靠运行。3) 应用的安全访问随着网络应用的不断增加,对应用的访问控制需求也日益严格,如财务系统的数据属于学校的、机密数据,需要对校园网用户进行安全访问控制,确保只有授权用户可以访问,而其他用户应拒绝其访问,类似的应用安全访问需求很多,如何对网络访问行为进行有效的控制,确保数据的安全,也是需要有效解决的安全问题。4) 设备的安全管理随着网络规模的不断增大,对网络设备的集中管理、远程管理已成为网络管理的常用方式。但传统管理技术中管理信息如用户名、密码等关键字段在网络上都是以明文进行传输,很容易被窃取,从而使黑客轻易的获得设备的控制权,更改设备配
22、置,导致网络应用中断。因此网络设备管理的安全也是另一个需要重点考虑的问题。5) 终端的主机安全要求70以上威胁网络安全的攻击行为都是来自校园网内用户;内网防御能力弱,病毒、木马泛滥;“合法用户”的“非法行为”危害巨大;常规手段难以及时发现并阻断攻击行为;发生的安全事件不能审计到人,无法进行有效处理。同时、网络中大部分被攻击事件是由于Windows系统补丁未更新,系统存在致命漏洞;没有按规定安装杀毒软件及防火墙,成为病毒和木马的温床;用户随意安装违禁软件,不规范使用网络;上述问题造成了病毒和攻击在校园网内的泛滥,影响校内办公教学等正常应用的开展。因此做好网络防护,规范用户使用网络的行为,保证网络
23、设备安全、应用安全、业务系统和数据的安全是本次网络建设非常重要的部分。3.3校内统一身份认证管理需求前几年是我国高校信息化发展的黄金时期,数字校园建设各方面都得到了长足的发展。但在高校信息化过程中,信息系统建设以局部建设为主,各高校的信息系统建设模式基本上都是一个部门一个系统,然后通过后台的数据库手段进行数据交换与共享,而很少从整个学校的高度根据业务逻辑设计跨部门的系统,忽略了解决数字空间内部关联问题以及与现实校园的衔接问题。在高校信息化建设中,过于重视信息系统及其基础设施,而对活动的主体用户重视不够,考虑系统的运行效率多于用户的使用效率。此问题导致的后果是建设的信息系统越多,用户使用越麻烦,
24、甚至让用户在数字校园中也开始由于面对纷繁复杂的信息资源与服务而不知所措,出现信息化时代新的低效率问题。在校内存在大量的应用系统,每一套系统都独立维护了用户的一套数据库,而当学生和教师入校时,系统管理员需要在每个有权限的系统中为其分配账号,系统管理员要在每一个系统中添加用户账号信息,这无疑增加了管理员的管理工作,而且由于管理员经常无暇顾及,常常会延误新员工的工作分配,大大影响了工作效率。另外,由于不能及时修改或删除离校和学生在每一系统中的账号信息,也存在很大的安全风险。因此校内统一账号实现集中式管理成为亟待解决的迫切需求。3.4IPV6应用和部署需求目前各高校的校园网主要以IPv4网络为主,但目
25、前在校园网中IPv4网络存在如下问题:l lIP地址资源短缺中国IP地址严重不足是众所周知的问题。在高校同样也存在严重的IP地址不足的问题,地址不足使得校园网内用户访问Internet只能通过NAT地址转换,使得高校师生难以直接和国外同行简立起直接的端到端的连接,为高校师生的学术研究和交流带来极大的不便。l lNAT导致的严重问题确实,NAT技术很好地解决了现阶段地址资源不足的问题,但这样的解决方案也是有代价的。首先,NAT破坏了全球惟一地址的模型与地址的稳定性。其次,NAT破坏了对等网络的模型,直接导致了很多点对点的业务无法开展。第三,NAT的存在直接导致了许多网络安全协议无法执行,QoS更
26、加无法保障;更重要的是,NAT的使用导致出口性能严重下降,使得出口成为瓶颈。l lQoS的问题如何在IPv4 的“尽力而为”的基础上实现可靠安全的传输一直是困扰互联网发展的一大难题。目前互联网所提供的服务是“尽力而为”的,得不到质量保证,这显然是不能令人满意的,尤其是对那些实时性要求较严的服务。这同样限制了国内外高校之间学术活动的开展和交流,对高校师生在Internet上的学术研究也有很大的窒碍。上述问题靠IPv4本身是难以解决的,要解决这些问题只有利用一种新的协议来替代IPv4,那就是IPv6。所以建立起IPv6校园网并逐渐取代IPv4已经是很实际的需求。同时,高校作为学术研究的基地,抢占I
27、Pv6技术制高点也同样是迫切的事情,建立起IPv6校园网以推动高校师生对IPv6技术的研究和实践,也是迫切需要的。l IPV6应用需求IPv6协议具有很多优点,学术研究基地的高校也正致力于将IPv6协议的诸多优势转换到高校的网络应用中去。依据下一代因特网特性以及未来高校可能的网络应用需求,可将IPv6在高校的应用开展分基础应用服务升级与高级应用服务开展两部分。基础网络服务旨在将现在已有的服务系统如何实现双栈并存和无缝转换以保障业务的连续性,涉及DNS、DHCPv6、WEB和FTP等服务。高级应用服务针对未来网络性能与需求解决如何在过渡期以及纯IPv6协议里得到更好地扩展,主要包含校园网门户系统
28、、视频直播应用、高清视频会议应用、IPv6网格技术等应用服务。3.5校园宿舍网络建设需求目前学校的宿舍网络由电信运营商进行经营管理,学校自建宿舍网络的诸多需求和问题还待解决。1) 宿舍网建设有助于学生的成长截至2008 年12 月31 日,中国网民规模达到2.98 亿人,普及率达到22.6%,超过全球平均水平;在中国网民的结构中,学生占比33.2%,越来越多的学生通过网络来进行学习、生活、娱乐,网络提高了学生学习的效率,丰富了学生的课外生活,为学生提供了更多的娱乐方式。 宿舍网无疑为学生提供了一个很好的上网平台,一个很好的学习、生活、娱乐的平台,当然,如何管理好学生上网也是非常重要的。 2)
29、宿舍网建设有助于数字化校园的发展 学生宿舍网建设后,学生能够非常快速、方便的访问教学支撑平台、电子校务平台、数字图书馆等,促进了数字化校园的发展。3) 宿舍网建设实现学校社会满意度的提升l 机房上网:公共机房的上网管理问题和效率问题,导致学生和老师都不满意l 宿舍通过电信或者其他运营商上网:访问校内教学资源困难,尤其校内对学生宿舍上网监控和管理困难。使得校园网价值无法充分体现。4) 宿舍网建设将用于校园网的以网养网为了实现统一的整体数字校园网,宿舍网络建设需求亟待解决。3.6校园网综合管理管理需求随着数字化校园网络建设的推进,为了让凝聚了巨大人力物力投入的信息基础设施发挥出其效益,保障整个信息
30、系统的平稳可靠运行,需要有一个可从整体上对包括IP网络,存储,安全等组件在内的IT基础设施环境进行综合管理的平台,并能够提供业务系统运行异常的实时告警和进行图形化问题定位,性能趋势分析和预警,能够基于关键业务系统的角度,以业务重要性为导向进行事件处理和通知。由于信息系统是一个包括了众多软件,硬件技术,设计多厂家产品,从网络,安全,存储,计算到中间件和应用的复杂异构环境,而且随着数字校园信息建设的深入和持续优化和发展,这个复杂庞大的基础设施,还会随之不断进行演进,在产品,技术和网络结构,业务关系上不断发生变化,因此,要求针对该环境进行管理的系统具有良好的可扩展性,能够将下层网络和的复杂度有效的通
31、过抽象屏蔽起来,并向上层应用和运维流程开放稳定的接口。因此,新一代大型的数字校园网需要通过面向关键业务的基础设施管理,让IT投入的效益的到最大化的体现,并能够在网络和信息团队运维资源有限的条件下,让校园的服务品质和管理水平得以提升。第四章天水农业学校网络解决方案4.1全网拓扑设计及描述IneternetRG-WALL1600-EIComst计费网关RG-EG1000M服务器区域网络中心办公楼金工中心餐厅膳食科培训中心教师宿舍家属楼1家属楼2北校区教研组六楼媒体教室五楼实训机房三楼实训机房二楼实训机房一楼网络实训室HW-S9306千兆光纤千兆双绞线天水农校网络拓扑图四楼实训机房农机实验室H3C
32、5500北校区web、文件服务器网络存储设备核心部分:本方案中在新校区的中心机房部署核心交换机,设备采用1台华为万兆核心交换机(已有),这款产品革命性的支持10万兆速率扩展,产品性能和扩展能力达到了业界的顶尖水平,正是凭借这样出色的设计,该产品荣膺“2006年十大创新产品”称号。网络核心多业务IPv6核心路由交换机虚拟为一台逻辑核心交换设备,作为天水农业学校整网的冗余数据交换和处理平台,核心设备支持双管理引擎和冗余电源,热拔插模块化设计,充分保障网络设备的稳定性。冗余备份的网络架构设计,全面提升网络系统的整体稳定性。区域汇聚部分:本方案中在各个大区域汇聚层都采用1台锐捷网络RG-S5750-E
33、安全多业务高性能万兆交换机,分别部署于主教学楼、行政办公楼、图书馆、实训楼、实验楼、实训车间楼;每台设备通过双千兆单模光纤链路上联到核心交换机,这种双归属链路的设计,充分保障了网络不会因为链路或设备的故障而中断,并且增强了网络带宽,实现了流量的负载均衡。同时这款产品的产品性能、安全功能和扩展能力都达到了业界的领先水平,正是凭借这样出色的设计,该产品通过信产部的全面安全功能测试。RG-S5750-E安全多业务高性能万兆交换机作为天水农业学校各个区域数据交换和处理平台,设备支持多种软硬件高可靠性设计,充分保障区域网络的稳定性。接入部分:本方案中,根据楼宇网络需求的不同性质,网络接入层采用锐捷网络R
34、G-S2900-E系列安全智能千兆交换机,通过RG-S5750-E和 RG-S2900-E系列交换机更可完美配合RG-SAM的网络安全认证计费系统,提供网络的身份认证、准入控制和安全认证管理,有效提升天水农业学校网络的安全级别。出口部分:修改为一台EG1000M在出口部署一台多核NP的高性能出口引擎NPE50E,该设备是防火墙和路由器的结合体,既可以提供高端路由器具有的高性能NAT、策略路由、Qos以及丰富的路由协议功能,还能提供防火墙具有的包过滤、状态检测、URL过滤、带宽管理等防火墙的功能。另一方面,还在网络出口部署一台RG-EG 1000的流量控制及分析系统,用于实时检测网络中的流量并对
35、于各种协议流量进行分析及限制,控制P2P,控制应用。该设备通过双桥(桥和桥之间不互访)连接双核心(每个桥都有BYPASS功能),因此等同于两台流控设备。特别是当任一或二根线路出现故障时,流量会直接通过BYPASS出去。不影响网络正常应用。同时,为了确保出口安全在出口部署一台高性能防火墙RG-WALL1600,该设备是面向大型园区网出口用户开发的新一代电信级高性能防火墙设备。RG-WALL1600E采用了最新的硬件平台和体系架构,实现防火墙性能的跨越式突破,可支持数十个GE接口,同时支持万兆扩展,方便用户的接入使用。网络安全认证计费管理部分ESS,只做认证不做计费:方案中从网络安全角度出发,部署
36、安全认证管理系统,通过将用户入网强制安全、统一安全策略管理、动态网络带宽分配、嵌入式安全机制集成到一个网络安全解决方案中,达到对用户身份的统一认证识别,网络受损系统的自动修复,同时可针对网络环境的变化和新的网络行为自动学习,从而达到对未知网络安全事件的防范。该方案未来更可部署RG-IDS入侵检测设备,扩展安全系统,实现对网络安全威胁的自动检测和自动防御。另外,针对上网计费的需要部署安全认证计费系统,实现对上网用户身份的统一认证识别和计费。网络管理部分:方案中部署的网络管理系统,也可直接部署RILL-BMC,可以提高有线网络的可用性,减小网络故障对于天水农业学校正常工作的影响,同时能够利用网管工
37、具最大限度地节省管理员的工作量,避免出现到处救火、疲于奔波的情况。网络行为审计及流量分析部分删除E-LOG:方案中考虑到公安部于2006年逐步开始实行了网络计算机安全保护措施规定。整个体系中,要求在接入单位的出口对数据流的基本属性进行记录。因此方案中特别部署有一套锐捷网络RG-ELOG安全日志管理系统,用于集中的分析和呈现NPE、RG-WALL、ACE的各种日志,帮助管理员建立一套可信赖的武威凉州区职业中等专业学校网络出口安全审计系统。这样就可以保证对网络用户的行为的事前定位、事中可查、事后可追踪。4.2解决方案详细阐述4.2.1网络架构设计整体的稳定可靠,首先要从大的网络架构上进行考虑。只有
38、在整体架构稳定的情况下,单点的设备稳定才更有意义。一个合理稳定的整体架构,将会最小化每个单点设备的负载和风险,大大提升网络的整体性能。整个核心网络设计的基调采用双千兆、双核心,双电源,从大的架构上大大的提升了网络的整体性能和稳定性。从纵向角度可将网络分为核心、汇聚、接入三个层次结构。三层结构有如下好处:(1) 分流核心数据处理能力、降低核心路由交换压力;(2) 更好抑制广播风暴、提升网络性能;(3) 终结各VLAN信息、增强核心路由管理能力;(4) 网络层次结构更加完善、可汇总路由,降低核心路由表项;(5) 安全性更高,更强的预防和控制,对网络攻击、病毒和破坏尽量控制在边缘完成;(6) 扩展性
39、更强、快速定位故障点、更易于管理;(7) 各接入层内部通讯量大,无需通过核心处理时(内部网络游戏等),采用三层结构更加合理;从横向角度可将网络分为核心区块、汇聚区块这两个部分。1) 核心区块类似上文所述核心层的概念。核心区块唯一的目的就是高性能,高稳定。这里主要的设计思路是,需要核心和汇聚、接入、服务器彻底分离。保证任何业务(任何PC机、服务器)都不直接连接在核心区块上,这样将大大保证核心网络的安全性。从另外一个角度看,其它任何区块发生问题,都将限制在该区块内,而不会波及核心。并且由于无业务设备直接连接在核心区块上,所以核心区块几乎可以不布置任何策略,唯一的工作就是快速交换、路由。2) 汇聚区
40、块主要包含了6个区块。汇聚各楼栋汇聚交换机,主要关注路由和其它相关策略部署。4.2.2网络核心设计4.2.2.1高性能的核心设计(暂有以下设备)选用的核心华为9306是华为网络推出的面向十万兆平台设计的下一代高密度多业务IPV6核心路由交换机,满足未来以太网络的应用需求,支持下一代的以太网100G速率接口,提供6插槽设计主机:HUAWEI 9306。HUAWEI 9306高密度多业务IPV6核心路由交换机提供6T背板带宽,并支持将来更高带宽的扩展能力,高达1152Mpps的二/三层包转发速率可为用户提供高密度端口的高速无阻塞数据交换。4.2.2.2高稳定的核心设计核心交换设备的稳定可靠需要以下
41、四个方面共同保障:1) 全分布式转发华为9306多业务面向十万兆平台的核心交换机,均提供基于全分布式业务转发。每个业务板卡可基于硬件的独立处理数据流查询与转发。可较好的抵御网络扫描类的攻击。2) 全分布式策略处理由于华为9306交换机设计时将ACL处理引擎分布在了各个接口业务模块上,故部署ACL时完全不会影响CPU的性能。通过大量的实际案例可知,在大流量网络中,大量部署ACL,华为9306交换机的CPU利用率不会超过10。保证大量策略部署后,网络设备仍然稳定可靠。技术特点:技术的具体实现机制是,在线卡分布式设计的基础上,为各个物理端口配备专用的FFP(FFP: fast filter proc
42、essor)处理模块,FFP模块可以实现硬件处理Qos与ACL功能,实现整机数据端口级同步处理ACL/QOS;同时,通过线卡芯片线速转发L2/L3/组播数据,实现了从线卡到端口的全面分布式硬件设计,有效分流、缓解线卡ASIC芯片的负载压力,极大地提升交换机的整体数据处理能力。如下图:华为9306面向万兆的多业务以太网交换机为例,交换机主管理模块执行路由管理、网络管理、网络服务等任务;采用Crossbar交换结构背板;用户接口模块则可以独立实现硬件路由、交换和组播功能;用户交换端口可以独立硬件实现ACL和QOS功能,不仅能在保证网络安全的同时,又可极大提高核心交换机的处理能力,保证应用的顺利进行
43、。3) 平面保护技术华为9306交换机采用了平面保护技术,在网络设备的数据平面、控制平面之间配置有独立的硬件安全芯片,该芯片可以有效的控制从数据平面(ASIC芯片)发往控制平面(CPU)各种报文,进行识别、限速、阻断等。这样就保证了在异常攻击流量的情况下,交换机CPU的永不过载,控制平面的任务可以很好的执行,这样就高度保证了交换机系统的稳定性。平面保护技术特点:当然平面分离大大加强了设备的稳定性。但同时它的安全变得更加重要。因此我们推出了平面保护技术。路由协议认证、独立物理通道保证控制平面的安全;通过CPP保护、AAA、SSH、SNMPv3、独立物理通道保证管理平面安全;通过硬件防DOS与扫描
44、、硬件防IP地址欺骗、传统安全技术防范、硬件支持的IPFIX册地保证数据平面安全。通过上述三个方面的共同保障,华为9306交换机无论处于何种情况的网络中,均可保证自身系统的高度稳定性。4.2.2.3易扩展的核心设计此次选用的核心华为9306是锐捷网络推出的面向万兆平台设计的下一代高密度多业务IPV6核心路由交换机,满足未来以太网络的应用需求,支持下一代的以太网100G速率接口,提供6插槽设计主机:华为9306。高密度线速万兆及十万兆的扩展支持华为9306是华为网络推出的面向十万兆平台设计的下一代高密度多业务IPV6核心路由交换机,具有很高的扩展能力。它支持下一代的以太网100G速率接口,同时也
45、由于每线卡能提供200G的线卡带宽保证了未来扩展高密度万兆口的需求。再次万兆也获得了信息产业部的线速测试报告,既保证了端口密度又保证了性能。IPv6的全面支持核心华为是线卡 ASIC硬件支持全面的IPv6功能,包括IPv6的各种动、静态路由;各种隧道技术等。保证了学校未来对于Cernet2的直接对接。同时华为9306系列的IPv6功能也获得了国际权威的IPv6 Ready 第二代认证 。虚拟化交换单元技术支持为了保证网络的可靠性、故障自愈性,在方案设计中均需要考虑各种冗余设计,如网络冗余节点、冗余链路等。冗余的设计使网络结构中出现了环路以及环路有可能引起的广播风暴等风险,生成树技术(STP)应
46、运而生。它虽然消除了环路,但却带来了链路性能利用不足的新的问题。随之MSTP技术利用通过多实例的划分来实现不同链路流量的负载分担,提高了链路可用性能,但与此同时却将网络的结构,管理维护工作量翻了几番。而管理维护量大会导致一旦配置出错会又回到起初环路产生所带来的广播风暴的问题。从根本上讲,网络结构、业务、管理维护的复杂度,:一方面是由于网络设备数量众多直接带来的;另一方面是由于网络设备数量众多衍生出的类似STP、VRRP这些特性间接带来的。但无论是直接还是间接引起,本质上都是网络设备数量的问题。所以,最根本的方法,就是要减少逻辑设备的数量。换句话讲,就是将多台物理设备虚拟为一台逻辑上统一的设备,
47、使其能够实现统一的运行,从而达到减小网络规模的目的。为了解决传统网络的这些问题,锐捷网络提出一种把两台物理交换机组合成一台虚拟交换机的新技术,称为VSU,全称是Virtual Switch Unit,即虚拟交换单元。把传统网络中两台核心层交换机用VSU替换,VSU和汇聚层交换机通过聚合链路连接。在外围设备看来,VSU相当于一台交换机。速度更快高端交换机性能和端口密度的提升会受到其硬件的限制,而VSU系统的性能和端口密度是VSU内部所有设备性能和端口数量的总和。因此,VSU技术能够轻易的将设备的核心交换能力、用户端口的密度扩大数倍,从而大幅度提高单台设备的性能。此外传统的生成树等技术为了避免环路的发生,会采用阻断一条链路的方式,而VSU可以通过跨设备链路聚合等特性,让原本“Active-standby”的工作模式,转变成为负载分担的模式,从而提高整网的运行效率。网络更加可靠链路级:设备之间的物理端口支持链路聚合,系统和上、下层设备之间的物理连接也支持聚合功能,这样,通过多链路备份提高了链路的可靠性。协议级:提供实时的协议热备份功能,负责将协议的配置信息备份到其他所
